Появился инструмент для проверки компьютеров на наличие программ-шпионов АНБ
Экономика
Скрипт, обнаруживающий код-имплант, показал, что во всем мире инфицированы около 100 000 систем
Заражен ли ваш компьютер шпионским имплантом Агентства Национальной Безопасности США? Исследователь безопасности создал бесплатный инструмент, который может ответить на этот вопрос.
Люк Дженнингс из компании информационной безопасности Countercept написал скрипт, реагируя на утечку информации о кибероружии, появившейся на прошлой неделе, которое, по мнению некоторых исследователей, принадлежит Агентству Национальной Безопасности США.
Скрипт предназначен для обнаружения импланта под названием Doublepulsar, который поставляется с множеством Windows-эксплойтов, и может использоваться для загрузки других вредоносных программ.
Скрипт требует навыков программирования, и доступен для загрузки с GitHub.
Некоторые исследователи безопасности использовали скрипт Дженнингса для сканирования интернета на наличие машин, зараженных имплантом. Их результаты широко варьировались, отображая от 30 000 до 100 000 компьютеров с установленным кодом.
Компания Below0Day, занимающаяся тестированием на проникновение, опубликовала твиты с графами, показывающими, какие страны оказались наиболее затронуты. США находится на вершине с 11 000 машин.
В других странах, включая Великобританию, Тайвань и Германию, обнаружено более 1 500 зараженных компьютеров.
Неясно, когда эти машины были заражены имплантом, сказал Дженнингс. Эксплойты АНБ, устанавливающие Doublepulsar, попали в сеть неделю назад, и в этот момент любой человек с определенными навыками взлома мог начать их использовать.
Эксперты по безопасности обеспокоены тем, что киберпреступники или правительства государств могут воспользоваться просочившимися эксплойтами и атаковать уязвимые машины через Интернет. Компьютеры со старыми или непропатченными системами Windows подвергаются особому риску. Перезагрузка системы приводит к удалению импланта, но не обязательно к удалению связанного с ним вредоносного ПО.
Дженнингс сказал, что он разработал скрипт, проанализировав, как имплантант Doublepulsar обменивался информацией через Интернет со своим сервером управления. Его первоначальное намерение состояло в том, чтобы помочь компаниям идентифицировать имплант в их сетях, а не сканировать весь интернет на наличие данного импланта.
«В Twitter много дискуссий», говорит он. «Люди задаются вопросом — может, скрипт неверен? Они удивлены количеством зараженных систем».
Тем не менее, никто не представил доказательств того, что скрипт является неправильным, сказал Дженнингс.
«Вероятно, есть группа, или множество групп, использующих эти эксплойты для компрометации уязвимых машин», сказал он.
Старые системы на Windows Server, особенно работающие без брандмауэра, легко взломать с помощью этих эксплойтов. Похоже, существуют тысячи таких машин по всему Интернету.
Дэн Тентлер, генеральный директор компании Phobos Group по обеспечению безопасности, изучает точность сценария. Он уже выполнил ручную проверку 50 машин, которые были помечены как зараженные, и все 50 из них действительно были заражены.
«Обычно, если вы проверяете много машин, и скрипт плохой, вы ожидаете найти несколько ложных срабатываний», сказал он. «Но я нашел ноль ложных срабатываний».
Для исследователей безопасности потребуется больше времени, чтобы проверить точность результатов поиска Doublepulsar. Тентлер рекомендует системным операторам принять меры для предотвращения заражения недавно просочившихся в сеть вредоносных программ.
Он говорит, что пользователи должны установить все доступные патчи Windows. Исправления от Microsoft помогут устранить эту опасность, но старые операционные системы, такие как Windows XP и Windows Server 2003, больше не поддерживаются.
Пользователям нужно рассмотреть возможность обновления системы до новой ОС. Они также могут использовать антивирусные продукты, такие как Windows Defender, чтобы нейтрализовать вредоносное ПО.